Debian – Angriffe auf’s Filesystem erkennen

Einleitung

Nun meistens ist es der Fall das man erst dann bemerkt das man
von einem Angriff betroffen ist wenn ein oder mehrere
Hacker bereits ein Defacement auf den Webserver hochgeladen haben.

Nun ist die Frage wie man frühzeitig erkennen kann das man zum Opfer
eines Angriffes geworden ist.

Maßnahmen

Was man dafür tun kann um dies zu erkennen bevor es zu spät ist, ist
man könnte das Filesystem auf Änderungen an Files erkennen bzw.
auch erkennen ob Files in irgend einem Verzeichnis auf dem Server erstellt wurden
und dann sich wiederum vom System darüber per Email oder SMS benachrichtigen lassen.

Konfiguration

Hierfür gibt es Beispielsweise iwatch.
iwatch ist ein Filesystem Scanner der Änderungen am Filesystem (jeh nach Konfiguration
in bestimmten Ordnern) erkennt.
iWatch erstellt von jeder File eine eigene Prüfsumme und gleicht ab ob diese Prüfsumme sich
während der Laufzeit des Servers verändert.
Tritt eine Veränderung ein benarchichtigt iwatch den Benutzer beispielsweise via Email.

Die Konfiguration von iWatch ist relativ simpel. Die iWatch Konfiguration wird über eine XML
File gemanaged.

iWatch lässt sich simpel unter Debian über den Paket-Manager installieren:


apt-get install iwatch

Nach der Installation von iWatch wird man darauf hingewiesen das iwatch nicht mit dem
Betriebssystem startet. Am besten ist es natürlich man konfiguriert zuerst iwatch bevor man
dem Programm mitteilt das es mit dem Betriebssystem starten soll.

Die Konfiguration von iwatch befindet sich im Verzeichnis “/etc/iwatch/” und trägt den Namen
“iwatch.xml” an der “iwatch.dtd” File sollte man bestenfalls nichts verändern diese beinhaltet
ledeglich die Dokumentdefinition.

Die Standard-Konfiguration von iwatch sieht wie folgt aus:

<!DOCTYPE config SYSTEM "/etc/iwatch/iwatch.dtd" >

<config>
<guard email=”root@localhost” name=”IWatch”/>
<watchlist>
<title>Operating System</title>
<contactpoint email=”root@localhost” name=”Administrator”/>
<path type=”single” syslog=”on”>/bin</path>
<path type=”single” syslog=”on”>/sbin</path>
<path type=”single”>/etc</path>
<path type=”recursive”>/lib</path>
<path type=”exception”>/lib/modules</path>
</watchlist>
</config>

Unter Title findet man den Titel der Email. Wenn eine Email nun versendet werden würde, würde sie
den Namen “Operating System” tragen.
Der Eintrag “guard” legt fest wie die Absender-Email-Adresse lauten soll. Contactpoint dagegen legt fest
an wen eine Email versenden werden soll.

Außerdem gibt es ebenso noch den Punkt “path”. Unter “path” werden die Pfade die überwacht werden sollen
eingetragen. “path” bietete 2 Attribute “type” und “syslog”.
Unter Type legt man den Typen für die Überwachung des Verzeichnisses fest:

– single
Bedeutet, dass alle Files im jeweiligen Verzeichnis untersucht werden dürfen, allerdings werden hierbei
die darunter liegenden Verzeichnise ausgeschlossen. Sprich nur der oberflächliche Inhalt des Verzeichnisses
wird überprüft.

– recursive
Recursive dagegen legt fast das sowohl der oberste Inhalt des Verzeichnises überprüft werden soll, sowie auch
die Unterverzeichnisse des angegebenen Verzeichnisses.

– exception
Exception legt fest welche Verzeichnisse innerhalb eines Verzeichnisses nicht untersucht werden dürfen.

Das weitere Attribut “syslog” legt fest ob die auftretenden Ereignisse im Syslog gespeichert werden sollen.
Hier gibt es nur 2 Optionen “on” und “off”.

Hat man nun seine Konfiguration nach eigenem Ermessen konfiguriert so sollte man nun auch iwatch zum Systemstart
hinzufügen.
Das Verzeichnis “/var/www” sollte man natürlich ebenso zu der Konfiguration hinzufügen, mit dem Typen “recursive”.

Nun kann man die Konfigurationsfile “/etc/default/iwatch” ändern, welche wie folgt aussieht:

## iwatch configuration file

# START_DAEMON:
# should iwatch start the iwatch daemon during boot?
START_DAEMON=false

# CONFIG_FILE:
# configuration file for iwatch daemon
#
CONFIG_FILE=/etc/iwatch/iwatch.xml

Dort sollte man nun den Parameter “START_DAEMON” auf true setzen und die File speichern.

Hat man dies getan muss man nun iwatch neustarten um die Konfigurationsänderungen wirksam zu machen.


/etc/init.d/iwatch restart

Nun kann man nach eigenem Ermessen entscheiden ob man sich die Benarchichtigungen via Email zuschicken lassen möchte
oder diese via SMS zugestellt werden sollen.

Möchte man sich die Benachrichtigungen via SMS zustellen lassen so gibt es verschiedene SMS-Diesten wie z.B:
http://shop.netways.de/faq/email2sms.html

Dienste wie dies sind allerdings kostenpflichtig und ebenso muss man, sofern man eine Benachrichtigung via SMS haben
möchte auch die Konfigurationsfile erneut ändern um den richtigen Adressat einzutragen.

Desweiteren kann ich nur empfehlen, dass eine reine Filesystem-Überwachung allein nicht viel bringt.
Was man ebenso tun sollte ist einen entsprechenden Antivirus zu installieren. Beispiele hierfür sind z.B.
clamav.

2 Comments

  1. cyber Juni 18, 2014
    • cyber Juni 18, 2014

Leave a Reply